По сообщениям, Discord подвергается шантажу со стороны хакеров, взломавших базу данных, содержащую конфиденциальные данные о подтверждении возраста более чем 2.1 миллиона пользователей. Злоумышленники угрожают опубликовать эти данные.
В среду в посте в X, репозиторий вредоносного ПО VX-Underground заявил, что Discord подвергается шантажу со стороны лиц, ответственных за взлом их экземпляра Zendesk, содержащего пользовательские данные. В эти данные входят 2 185 151 фотография, использованная для подтверждения возраста 2.1 миллиона пользователей, включая снимки водительских прав и паспортов.
«Фотографии водительских прав и/или паспортов пользователей Discord могут быть опубликованы», — заявил VX-Underground.
Взлом произошел 20 сентября, когда экземпляр Zendesk Discord, содержащий данные, был скомпрометирован. В пятницу платформа обмена сообщениями, ориентированная на игры, сообщила об инциденте, заявив, что «это повлияло на ограниченное число пользователей».
«Небольшое количество изображений удостоверений личности»
«Несанкционированная сторона также получила доступ к небольшому количеству изображений документов, удостоверяющих личность (например, водительских прав, паспортов), пользователей, которые обжаловали определение возраста», — заявила Discord, пообещав предупредить затронутых пользователей по электронной почте.
Некоторые пользователи выразили обеспокоенность тем, что данные хранились, поскольку Discord пообещал, что данные о подтверждении возраста «удаляются сразу после подтверждения вашей возрастной группы». Тем не менее, источником данных является не система подтверждения возраста, а фотографии, отправленные в службу поддержки при обжаловании решения автоматической системы подтверждения возраста.
Опасности подтверждения возраста
Многие сторонники кибербезопасности и конфиденциальности решительно выступают против введения проверок документов для подтверждения возраста в онлайн-сервисах. Причина в том, что когда большие объемы конфиденциальных данных хранятся на сервере, они становятся привлекательной целью для злоумышленников, как в данном случае.
Некоторые представители криптосообщества утверждают, что существуют более безопасные альтернативы. В конце августа блокчейн уровня 1 с доказательством доли (proof-of-stake) Concordium запустил мобильное приложение, позволяющее пользователям подтверждать свой возраст, не раскрывая свою личность.
Приложение использует доказательства с нулевым разглашением (ZK-proofs) для математического подтверждения того, что пользователи предоставили доказательство своего возраста, не раскрывая при этом полные данные. Это предотвратило бы накопление большого количества фотографий документов на сервере, который может быть взломан в будущем.
Системы, использующие ZK-proofs, не обязательно должны полагаться на криптовалюты. Google Wallet, приложение поискового гиганта для платежей и управления цифровыми картами, заявила в конце апреля, что она интегрировала ZK-proofs для подтверждения возраста.
